F-Secureは、自宅でのCOVID-19テストの欠陥を使用して結果を偽造します

セキュリティ研究者は、COVIDのホームテストで脆弱性を発見しました-悪意のあるアクターが、テスト結果をポジティブからネガティブに、またはその逆に変更するために使用する可能性があります。 F-Secureは、Ellume COVID-10ホームテストは、鼻のサンプルを分析して結果をアプリに伝達するBluetoothデバイスを介して操作できます。

F-Secureが脆弱性を説明した後、Ellumeは欠陥を修正しました。 Ellumeは、旅行者が米国に入国するために使用できるテストの1つです。一部のイベント主催者は、CESを含む)の参加者に予防接種の証明を要求しています。 )。参加者がそのイベント中に陽性と判定された場合、参加者はイベントバッジを返却し、の検疫を行うように求められます。 日々。

テストの仕組みは次のとおりです。ユーザーはアプリをダウンロードし、いくつかのスクリーニングの質問に答え、情報ビデオを視聴してからテストを実行します。テストデバイスはBluetooth経由でアプリに接続し、テスト結果を報告します。

会社はこの欠陥を次のように説明しました：

“F-Secureは、 STATUSトラフィックとMEASUREMENT_CONTROL_DATAトラフィックの両方で「テストのステータス」に続いて新しいCRCとチェックサム値を計算すると、Ellumeアプリがデータを処理する前にCOVIDテスト結果を変更することができました。 “

セキュリティ研究者はこの脆弱性を悪用して、ネガティブテストをポジティブに変更しました。アプリは、HIPAA準拠のクラウド接続を介して、必要なデータを保健当局に自動的に報告します。

Allumeは、受験プロセスと結果を確認するためのビデオ観察サービスも提供しています。監督官は、テストを受ける個人を監視し、結果を含む証明書を発行します。

この誤った報告は、COVIDの陽性テスト結果をリストしたEllumeによって発行された公式証明書に反映されました-19。 F-Secureは、この実験の調査ファイルをGithubに投稿しました。

F-Secureのニューヨークシティオフィスの主任セキュリティコンサルタントであるKen Gannonは、悪意のある人物の変更を可能にする欠陥を発見しました。 Bluetoothアナライザがテストを実行した後、結果がアプリによって報告される前の結果。

“Ellumeの修正前は、COVIDを抑制することを目的とした公衆衛生対策を回避しようとする、サイバーセキュリティの専門知識を持つ高度なスキルを持つ個人または組織広がり、私たちの調査結果を複製することによってそうすることができたでしょう」とガノンはプレスリリースで言いました。 「適切な動機と技術的スキルを持っている人は、これらの欠陥を利用して、テストするたびに、または一緒に働いている人が否定的な結果を得ることができたはずです。」

F-Secureに連絡公表する前にこれらの調査結果を説明し、会社に次の手順を実行することを推奨します：

• スプーフィングされたデータにフラグを立てるために、結果のさらなる分析を実装します
• Androidアプリで追加の難読化とOSチェックを実装します

Ellumeの情報システム責任者であるAlan Foxは、プレスリリースで、偽造された結果の送信を検出して防止するためにシステムを更新したと述べました。

“また、保健部門、雇用主、学校などの組織がEllume COVIDの信憑性を検証できるようにする検証ポータルも提供します-19ホームテスト」と述べた。 「この問題に注意を向けてくれたF-Secureに感謝します。」

Ellumeのホームテストは12月にFDAによって承認されました2020は、海外旅行者が否定的なテスト結果を表示するために使用できるテストの1つです。

も参照してください

• 米国政府が$を発表DarkSideランサムウェアギャングリーダーのための百万の報奨金
• ボイスフィッシング攻撃により、Amazonがクレジットカード情報を盗むようになります
• 米国政府は連邦政府機関にパッチを適用するように命令します100s of vulnerabil ities
• 当局からの圧力により解散したとされるBlackMatterランサムウェアギャング
• ランサムウェアギャングが機密の財務情報を恐喝組織に漏らしている